Um hacker mira em outros hackers, gamers e pesquisadores com exploits, bots e cheats de jogos no código-fonte hospedado no GitHub que contêm backdoors ocultos para conceder ao ator de ameaça o acesso remoto aos dispositivos infectados.
Esta campanha foi descoberta por pesquisadores da Sophos, que foram contatados por um cliente para estimar o perigo de um trojan de acesso remoto chamado Sakura RAT, disponível gratuitamente no GitHub.
Os pesquisadores descobriram que o código do Sakura RAT era essencialmente não funcional, mas tinha um PreBuildEvent no projeto Visual Studio que baixa e instala malware nos dispositivos daqueles que tentam compilá-lo.
O publicador, "ischhfd83", foi descoberto estar direta ou indiretamente ligado a outros 141 repositórios no GitHub, 133 dos quais contêm backdoors ocultos, marcando isso como uma campanha concertada para distribuir malware.
A seleção de backdoors inclui scripts Python com payloads úteis ofuscadas, arquivos de screensaver (.scr) maliciosos usando truques de Unicode, arquivos JavaScript com payloads úteis codificadas e eventos PreBuild do Visual Studio.
Alguns repositórios parecem ter sido abandonados desde o final de 2023, mas muitos estão ativos com commits regulares, alguns enviados poucos minutos antes da análise da Sophos.
Esses commits são totalmente automatizados, então seu único propósito é criar uma falsa imagem de atividade que dá aos projetos maliciosos uma ilusão de legitimidade.
"Por causa das execuções de workflow automatizadas, muitos projetos tinham um grande número de commits (um tinha quase 60.000, apesar de ter sido criado apenas em março de 2025)," explica a Sophos.
Em todos os repositórios, o número médio de commits era 4.446 no momento da nossa coleta inicial.
O número de contribuidores é fixado em três usuários específicos para cada repositório, e diferentes contas publicadoras são usadas para cada um, nunca ultrapassando nove repositórios atribuídos a uma única conta.
Esses repositórios recebem tráfego de vídeos no YouTube, Discord e posts em fóruns de cybercrime.
O próprio Sakura RAT recebeu alguma atenção da mídia que despertou interesse entre os "script kiddies" curiosos que foram procurá-lo no GitHub.
Contudo, quando as vítimas baixam os arquivos, executar ou construir o código dispara uma etapa de infecção multi-nível.
Esse processo envolve scripts VBS sendo executados no disco, PowerShell baixando um payload útil codificada de URLs codificadas, buscando um arquivo 7zip no GitHub e executando um app Electron (SearchFilter.exe).
O app carrega um arquivo compactado que contém 'main.js' e arquivos relacionados muito ofuscados, incluindo código para profilaxia do sistema, execução de comandos, desativação do Windows Defender e recuperação de payload útil.
os payloads adicionais baixados pelo backdoor incluem ladrões de informações e trojans de acesso remoto como Lumma Stealer, AsyncRAT e Remcos, todos com capacidades extensas de roubo de dados.
Embora muitos repositórios trojanizados sejam criados para mirar em outros hackers, uma grande variedade de iscas, como cheats de jogos, ferramentas de mod e exploits falsos, são usados para mirar em gamers, estudantes e até mesmo pesquisadores de cibersegurança.
Como qualquer um pode fazer upload de código-fonte para o GitHub, examinar o código-fonte e verificar os eventos pré e pós-compilação de qualquer projeto é vital antes de tentar compilar software baixado de repositórios de código aberto.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...